Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Algoritma kriptografi dan Layanan AWS
Algoritma enkripsi adalah rumus atau prosedur yang mengubah pesan teks biasa menjadi ciphertext terenkripsi. Jika Anda baru mengenal enkripsi atau terminologinya, kami sarankan Anda membaca Tentang enkripsi data sebelum melanjutkan dengan panduan ini.
AWS layanan kriptografi
AWS Layanan kriptografi mengandalkan algoritma enkripsi open-source yang aman. Algoritma ini diperiksa oleh badan standar publik dan oleh penelitian akademis. Beberapa AWS alat dan layanan memberlakukan penggunaan algoritma tertentu. Di layanan lain, Anda dapat memilih antara beberapa algoritma yang tersedia dan panjang kunci, atau Anda dapat menggunakan default yang disarankan.
Bagian ini menjelaskan beberapa algoritme yang didukung AWS alat dan layanan. Mereka terbagi dalam dua kategori, simetris dan asimetris, berdasarkan bagaimana fungsi tombol mereka:
-
Enkripsi simetris menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi data. Layanan AWS mendukung Advanced Encryption Standard (AES) dan Triple Data Encryption Standard (3DES atau TDES), yang merupakan dua algoritma simetris yang banyak digunakan.
-
Enkripsi asimetris menggunakan sepasang kunci, kunci publik untuk enkripsi dan kunci pribadi untuk dekripsi. Anda dapat berbagi kunci publik karena tidak digunakan untuk dekripsi, tetapi akses ke kunci pribadi harus sangat dibatasi. Layanan AWS biasanya mendukung algoritma asimetris RSA dan eliptic-curve cryptography (ECC).
AWS Layanan kriptografi mematuhi berbagai standar keamanan kriptografi, sehingga Anda dapat mematuhi peraturan pemerintah atau profesional. Untuk daftar lengkap standar keamanan data yang Layanan AWS sesuai, lihat program AWS kepatuhan
Tentang algoritma kriptografi
Kriptografi adalah bagian penting dari keamanan untuk AWS. Layanan AWS mendukung enkripsi untuk data dalam perjalanan, saat istirahat, atau dalam memori. Banyak juga yang mendukung enkripsi dengan kunci yang dikelola pelanggan yang tidak dapat diakses AWS. Anda dapat mempelajari lebih lanjut tentang AWS
komitmen terhadap inovasi dan berinvestasi dalam kontrol tambahan untuk fitur kedaulatan dan enkripsi dalam janji kedaulatan AWS digital (posting
AWS berkomitmen untuk menggunakan algoritme kriptografi paling aman yang tersedia untuk memenuhi persyaratan keamanan dan kinerja Anda. AWS default ke algoritma dan implementasi jaminan tinggi dan lebih memilih solusi yang dioptimalkan perangkat keras yang lebih cepat, meningkatkan keamanan, dan lebih hemat energi. Lihat Perpustakaan AWS Crypto untuk algoritma kriptografi
Layanan AWS menggunakan algoritma kriptografi tepercaya yang memenuhi standar industri dan mendorong interoperabilitas. Standar ini diterima secara luas oleh pemerintah, industri, dan akademisi. Dibutuhkan analisis yang cukup besar oleh komunitas global agar algoritme dapat diterima secara luas. Hal ini juga membutuhkan waktu untuk menjadi tersedia secara luas dalam industri. Kurangnya analisis dan ketersediaan memperkenalkan tantangan untuk interoperabilitas, kompleksitas, dan risiko untuk penerapan. AWS terus menerapkan opsi kriptografi baru untuk memenuhi standar keamanan dan kinerja yang tinggi.
AWS melacak perkembangan kriptografi, masalah keamanan, dan hasil penelitian. Ketika algoritme dan masalah keamanan yang tidak digunakan lagi ditemukan, algoritme tersebut ditangani. Untuk informasi selengkapnya, lihat Blog AWS Keamanan
Algoritma kriptografi
Tabel berikut mencantumkan algoritma kriptografi yang direkomendasikan dan statusnya.
Kriptografi asimetris
Tabel berikut mencantumkan algoritma asimetris yang didukung untuk enkripsi, perjanjian kunci, dan tanda tangan digital.
| Tipe | Algoritme | Status |
|---|---|---|
| Enkripsi | RSA-OAEP (modulus 2048 atau 3072-bit) | Dapat diterima |
| Enkripsi | HPKE (P-256 atau P-384, HKDF dan AES-GCM) | Dapat diterima |
| Perjanjian Utama | ML-KEM-768 atau ML-KEM-1024 | Lebih disukai (tahan kuantum) |
| Perjanjian Utama | ECDH (E) dengan P-384 | Dapat diterima |
| Perjanjian Utama | ECDH (E) dengan P-256, P-521, atau X25519 | Dapat diterima |
| Perjanjian Utama | ECDH (E) dengan BrainPoolp256R1, BrainPoolp384R1, atau BrainPoolP512R1 | Dapat diterima |
| Tanda tangan | ML-DSA-65 atau ML-DSA-87 | Lebih disukai (tahan kuantum) |
| Tanda tangan | SLH-DSA | Lebih disukai (penandatanganan tahan kuantum) software/firmware |
| Tanda tangan | ECDSA dengan P-384 | Dapat diterima |
| Tanda tangan | ECDSA dengan P-256, P-521, atau Ed25519 | Dapat diterima |
| Tanda tangan | RSA-2048 atau RSA-3072 | Dapat diterima |
Kriptografi simetris
Tabel berikut mencantumkan algoritma simetris yang didukung untuk enkripsi, enkripsi yang diautentikasi, dan pembungkus kunci.
| Tipe | Algoritme | Status |
|---|---|---|
| Enkripsi Terautentikasi | AES-GCM-256 | Diutamakan |
| Enkripsi Terautentikasi | AES-GCM-128 | Dapat diterima |
| Enkripsi Terautentikasi | ChaCha20/Poli1305 | Dapat diterima |
| Mode Enkripsi | AES-XTS-256 (untuk penyimpanan blok) | Diutamakan |
| Mode Enkripsi | AES-CBC/CTR (mode tidak diautentikasi) | Dapat diterima |
| Pembungkus Kunci | AES-GCM-256 | Diutamakan |
| Pembungkus Kunci | AES-KW atau AES-KWP dengan tombol 256-bit | Dapat diterima |
Fungsi kriptografi
Tabel berikut mencantumkan algoritme yang didukung untuk hashing, derivasi kunci, otentikasi pesan, dan hashing kata sandi.
| Tipe | Algoritme | Status |
|---|---|---|
| Hashing | SHA2-384 | Diutamakan |
| Hashing | SHA2-256 | Dapat diterima |
| Hashing | SHA3 | Dapat diterima |
| Derivasi Kunci | HKDF_Expand atau HKDF dengan -256 SHA2 | Diutamakan |
| Derivasi Kunci | Mode Penghitung KDF dengan HMAC- -256 SHA2 | Dapat diterima |
| Kode Otentikasi Pesan | HMAC- SHA2 -384 | Diutamakan |
| Kode Otentikasi Pesan | HMAC- -256 SHA2 | Dapat diterima |
| Kode Otentikasi Pesan | KMAC | Dapat diterima |
| Hashing Kata Sandi | scrypt dengan SHA384 | Diutamakan |
| Hashing Kata Sandi | PBKDF2 | Dapat diterima |
